Denetlenen kaynaklara erişimi ve yetkilendirme ilkesindeki değişikliklerin izlenmesi, olası güvenlik sorunlarını izlemek için bir yol sağlar, kullanıcı güvenilirliğini güvence altına almaya yardımcı olur ve güvenliğin ihlali durumunda kanıt sağlar.

Denetim türleri

Yetkilendirme Yöneticisi'nde iki tür denetim kullanabilirsiniz: çalışma zamanı denetimi ve yetkilendirme deposu değişiklik denetimi.

Çalışma zamanı denetimi

Çalışma zamanı denetiminde iki durum vardır:

  • Uygulama açıldığında denetim oluşturan çalışma zamanı uygulama başlatma denetimi.

  • İstemci bağlamı oluşturulduğunda ve istemci, erişim denetlemesini her çağırdığında denetim oluşturan erişim denetleme denetimi ve çalışma zamanı istemci bağlamı. Erişim denetimleri, Platform SDK'sının Yetkilendirme bölümünde açıklanan AccessCheck yöntemini temel alır. Yetkilendirmeyle ilişkili uygulama programlama arabirimleri (API) hakkında daha fazla bilgi için, bkz. Yetkilendirme (bu sayfa İngilizce içeriğe sahip olabilir) (https://go.microsoft.com/fwlink/?linkid=64031).

Çalışma zamanı denetimini başarıları, hataları veya hem başarıları hem de hataları günlüğe kaydedecek şekilde yapılandırabilirsiniz.

Yetkilendirme deposu değişiklik denetimi

Yetkilendirme deposu değişiklik denetimini etkinleştirdiğinizde, yetkilendirme deposunda yapılan her değişiklikle birlikte denetim oluşturulur. Denetim tüm olayları, başarıları ve hataları günlüğe kaydeder.

Yetkilendirme deposu değişiklik denetimi için, Yetkilendirme Yöneticisi NTFS dosya sistemini (XML tabanlı yetkilendirme depoları için), Active Directory Etki Alanı Hizmetleri'ni (AD DS), Active Directory Basit Dizin Hizmetleri'ni (AD LDS) ve Microsoft SQL Server'ı destekler.

Denetim olaylarını bulma

Yetkilendirme Yöneticisi tarafından oluşturulan denetim olaylarını görmek için ilgili bilgisayardaki olay günlüklerine bakın:

  • Çalışma zamanı denetim olayları, uygulamanın çalıştırıldığı istemci bilgisayarın güvenlik günlüğündedir.

  • Yetkilendirme deposu değişiklik denetimi olayları, deponun bulunduğu bilgisayarın güvenlik günlüğüne kaydedilir.

    • XML tabanlı yetkilendirme deposu için, XML dosyasının depolandığı bilgisayarın Olay Görüntüleyicisi'nde denetim kayıtları bulunur.

    • AD DS veya AD LDS kullanan bir yetkilendirme deposu söz konusu olduğunda, denetim kayıtları, erişilen etki alanı denetleyicisinin veya AD LDS sunucusunun Olay Görüntüleyicisi'nde bulunur.

    • SQL tabanlı yetkilendirme deposu söz konusu olduğunda, denetim kayıtları, SQL Server'ı barındıran bilgisayarın Olay Görüntüleyicisi'nde bulunur.

Denetimin kullanılabilirliği

Denetimin kullanılabilirliği aşağıdakilere bağlıdır:

  • Yetkilendirme deposunun AD DS, AD LDS, XML veya SQL tabanlı olması.

  • Denetlemenin yetkilendirme deposu düzeyinde, uygulama düzeyinde veya kapsam düzeyinde yapılandırılması.

Aşağıdaki tabloda, iki denetim türünün kullanılabilirliği açıklanmıştır.

Düzey Çalışma zamanı denetimi kullanılabilir: Çalışma zamanı denetimi bu düzeyde yapılandırılabilir: Yetkilendirme deposu değişiklik denetimi kullanılabilir:

Yetkilendirme deposu

  • XML

  • AD DS ve AD LDS

  • SQL Server

  • XML

  • AD DS ve AD LDS

  • SQL Server

  • XML

  • AD DS ve AD LDS

  • SQL Server

Uygulama

  • XML

  • AD DS ve AD LDS

  • SQL Server

  • XML

  • AD DS ve AD LDS

  • SQL Server

  • AD DS ve AD LDS

  • SQL Server

Kapsam

  • XML

  • AD DS ve AD LDS

  • SQL Server

Kullanılamaz (uygulama düzeyinde yapılandırılmış)

  • AD DS ve AD LDS

  • SQL Server

Denetimi kullanmak için, Denetim sekmesinde uygun onay kutusunu işaretlemeniz gerekir. Çalışma zamanı denetimini etkinleştirmek için, Çalışma zamanı uygulama başlatma denetimi onay kutusunu seçin. Yetkilendirme deposu değişiklik denetimini etkinleştirmek için, Çalışma zamanı istemci bağlam ve erişim gözden geçirme denetimi onay kutusunu seçin.

Sistemi denetime izin verecek biçimde yapılandırma

Denetim uygulamadan önce bir denetim ilkesine karar vermelisiniz. Denetim ilkesi, denetlemek istediğiniz güvenlikle ilgili olayların kategorilerini belirler. Varsayılan olarak, Windows ilk yüklendiğinde tüm denetim kategorileri devre dışı bırakılır.

Denetlenecek uygulama ve kapsamları yapılandırmak için, yetkilendirme deposunun bulunduğu bilgisayarda Denetimi ve güvenlik günlüğünü yönet ayrıcalığına sahip olmalısınız. Bu genellikle, yerleşik Administrators grubunun bir üyesi olarak oturum açarak veya istendiğinde yöneticinin parolasını girerek gerçekleştirilir.

Yetkilendirme deposu XML tabanlıysa, nesne erişim denetimini belirtmeniz gerekir. Yetkilendirme deposu AD DS veya AD LDS tabanlıysa, dizin hizmeti erişim denetimini belirtmeniz gerekir.

Çalışma zamanı istemci bağlamı ve erişim gözden geçirme denetimleri oluşturmak için, Yetkilendirme Yöneticisi'ni kullanan uygulamaların kullanıcılarına Güvenlik denetimi oluşturma ayrıcalığı verilmelidir. Uygulama kullanıcılarının bu ayrıcalığı yoksa, denetim olayları kaydedilmez.

Nesne erişim denetimini etkinleştirme

Varsayılan olarak, nesne erişim denetimi kapalı durumdadır. Bunu açmak için, Grup İlkesi'ni AD DS veya AD LDS'de etki alanı, etki alanı denetleyicisi veya uygulanabilir başka bir kuruluş birimi düzeyinde kullanmanız gerekir. Ayrıca, yerel güvenlik ilkesini de kullanabilirsiniz.

XML tabanlı yetkilendirme deposu bir etki alanı denetleyicisinde yer alıyorsa, Varsayılan Etki Alanı Denetleyicileri İlkesi Grup İlke nesnesi (GPO), nesne erişim denetimini etkinleştirmek için en uygun yerdir. XML tabanlı yetkilendirme deposu bir iş istasyonunda veya üye sunucuda bulunuyorsa, yerel güvenlik ilkesini ayarlamak için o bilgisayarın yerel GPO'sunu düzenleyebilirsiniz, ancak bu ayarlar yalnızca Grup İlkesi güvenlik ayarlarının bir sonraki yenilenmesine kadar geçerli olur. Denetimleri yalnızca bir kez üretiyorsanız, bu kullanışlı olabilir. Ancak, düzenli olarak güvenlik denetimleri yapmayı düşünüyorsanız, bilgisayara AD DS aracılığıyla uygulanan başka bir GPO düzenlemeniz gerekir.

Nesne erişim denetimini etkinleştirmek için aşağıdaki nesneleri yapılandırın:

  • Yerel bilgisayar için

    1. Yerel Grup İlkesi Düzenleyicisi'ni açın.

    2. Konsol ağacında, Bilgisayar Yapılandırması, Windows Ayarları, Güvenlik Ayarları, Yerel İlkeler ve Denetim İlkesi'ni çift tıklatın.

    3. Nesne erişimini denetle'yi tıklatın.

    4. Ayrıntılar bölmesinde, Bu ilke ayarlarını tanımla onay kutusunu seçin, Başarılı onay kutusunu seçin ve Hata onay kutusunu seçin.

  • Yalnızca etki alanı denetleyicileri için

    1. Başlat’ı tıklatın, Tüm Programlar’ı tıklatın, Yönetimsel Araçlar’ı tıklatın ve sonra Etki Alanı Denetleyicisi Güvenlik İlkesi'ni çift tıklatın.

    2. Konsol ağacında, Bilgisayar Yapılandırması, Windows Ayarları, Güvenlik Ayarları, Yerel İlkeler ve Denetim İlkesi'ni çift tıklatın.

    3. Nesne erişimini denetle'yi tıklatın.

    4. Ayrıntılar bölmesinde, Bu ilke ayarlarını tanımla onay kutusunu seçin, Başarılı onay kutusunu seçin ve Hata onay kutusunu seçin.

  • Etki alanı veya kuruluş birimi için

    1. Grup İlkesi Yönetim Konsolu'nu (GPMC) açın.

    2. Denetlemek istediğiniz GPO'yu sağ tıklatın ve ardından Düzenle'yi tıklatın.

    3. Konsol ağacında, Bilgisayar Yapılandırması, İlkeler, Güvenlik Ayarları, Yerel İlkeler ve Denetim İlkesi'ni çift tıklatın.

    4. Nesne erişimini denetle'yi tıklatın.

    5. Ayrıntılar bölmesinde, Bu ilke ayarlarını tanımla onay kutusunu seçin, Başarılı onay kutusunu seçin ve Hata onay kutusunu seçin.

Dikkat edilecek diğer noktalar

  • Etki alanı tabanlı ilke ayarlarını düzenlemek için GPMC'yi yüklemeniz gerekir. GPMC, Sunucu Yöneticisi'ni kullanarak yükleyebileceğiniz ek bir Windows Server 2008 özelliğidir.

  • Yerel GPO'yu düzenliyorsanız, Yerel Grup İlkesi Düzenleyicisi'nde Bu ilke ayarlarını tanımla onay kutusu görünmez. Yalnızca AD DS'de depolanmış GPO'ları düzenlediğinizde görünür.

  • Başarı ve Hata denetim onay kutuları kullanılamıyorsa, Bu ilke ayarlarını tanımla onay kutusu, AD DS yapısında daha yüksek düzeyde etkili olan bir güvenlik ilkesinde seçilmiş olabilir. Bu durumda, Bu ilke ayarlarını tanımla onay kutusunun işaretlenmiş olduğu yeri bulmanız ve onay kutusundaki işareti temizlemeniz gerekir. Bu ayarı bulmak için, bu bilgisayarı etkileyen GPO'lara bakın.

Dizin erişim denetimini etkinleştirme

Varsayılan değer olarak, dizin hizmeti erişim denetimi kapalı durumdadır. Açmak için, Grup İlkesi'ni AD DS'de etki alanı, etki alanı denetleyicisi veya uygulanabilir başka bir kuruluş birimi düzeyinde kullanmanız gerekir.

Nesne erişim denetimini etkinleştirmek için aşağıdaki düğümleri genişletin: Bilgisayar Yapılandırması, Windows Ayarları, Güvenlik Ayarları, Yerel İlkeler, Denetim İlkesi ve ardından Dizin hizmeti erişimini denetle öğesini çift tıklatın.

Bu ilke ayarlarını tanımla onay kutusunu işaretleyin, Başarı onay kutusunu işaretleyin ve ardından Hata onay kutusunu işaretleyin.

Dikkat edilecek diğer noktalar

  • Başarı ve Hata denetim onay kutuları kullanılamıyorsa, Bu ilke ayarlarını tanımla onay kutusu, AD DS'de daha yüksek düzeyde etkili olan bir güvenlik ilkesinde seçilmiş olabilir. Bu durumda, Bu ilke ayarlarını tanımla onay kutusunun işaretlenmiş olduğu yeri bulmanız ve onay kutusundaki işareti temizlemeniz gerekir. Bu ayarı bulmak için, bu etki alanı denetleyicisini etkileyen GPO'lara bakın.

  • GPO'ları düzenledikten sonra, gpupdate komutunu çalıştırarak değişikliklerin hemen etkili olmasını sağlayın.

Devralma yoluyla etkinleştirilen denetleme

Devralma yoluyla alınan tüm denetimler, yerel ayarlara bakılmaksızın gerçekleşir. Örneğin, yetkilendirme deposu AD DS'de depolanmışsa, denetleme ilkesi AD DS'deki bir üst kuruluş biriminden devralınabilir. XML tabanlı yetkilendirme deposu için, XML dosyasını içeren klasördeki denetim ilkesi uygulanır.


İçindekiler